目  录

1 特性简介

2 特性使用

2.1 配置指南

2.1.1 流量清洗业务配置指南

2.2 注意事项

3 支持的设备和版本

3.1 支持的设备

3.2 设备版本

3.2.1 H3C SecPath AFC

3.3 配置保存

4 相关资料

5 AFC旁路集群部署BGP三层注入典型配置举例

5.1 简介

5.2 使用限制

5.3 BGP三层注入模式配置举例

5.3.1 适用产品和版本

5.3.2 组网需求

5.3.3 配置思路

5.3.4 配置注意事项

5.3.5 配置步骤

5.3.6 验证配置

 

1 特性简介

H3C流量清洗系统一般旁挂于核心网络设备上，在不影响正常业务的同时，对下层网中出现的DDoS攻击流量进行过滤，实现对下层网和大客户网络业务的保护。

H3C流量清洗系统由异常流量检测设备（AFD）、异常流量清洗设备（AFC）二部分组成。

异常流量检测设备对通过镜像或者分光的方式复制过来的用户流量，实时进行攻击检测及异常流量分析。

异常流量清洗设备通过发布明细路由的方式，对发生攻击的用户流量牵引过来，进行攻击报文的过滤，并把清洗后的“干净”流量回注给用户。对于发布明细路由方式，一种是通过手动发送，一种是与异常流量检测设备联动。

异常流量检测设备、异常流量清洗设备均可以单独部署，均可以为用户提供详细的流量日志分析报表、攻击事件处理报告等。

2 特性使用

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解VLAN、BGP特性。

2.1  配置指南

H3C异常流量清洗与检测系统配置包括AFD设备、AFC设备及交换机的基本配置，采用命令行配置。异常流量清洗设备（AFC）的基本配置和业务相关配置，采用WEB界面配置。本配置以异常流量清洗设备旁路集群部署且采用BGP引流方式进行流量检测为例。

2.1.1  流量清洗业务配置指南

·     AFC集群设备分别和核心设备建立BGP邻居，核心设备启用BGP等价路由，将被保护IP的32位静态路由发布到核心设备实现将流量引流到AFC。

·     根据核心设备BGP负载方式，AFC将核心设备用来引流到AFC的流量进行清洗，同时将清洗过的用户正常流量回注到下层网络，并进一步回注到正常的目的设备。

·     AFC将清洗流量通过三层路由方式回注到下层网络时，有两种方式，一种是回流，一种是注入。

2.2  注意事项

·     如果AFC是多路设备（多通道）比如AFC2040，需要注意不要随意删除通道口的IP地址，否则可能造成通道接口三层转发不成功；

·     不同厂商不同型号的交换机或路由器，配置命令不同，请按照设备操作手册进行配置操作。

3 支持的设备和版本

3.1  支持的设备

H3C SecPath AFC

3.2  设备版本

3.2.1  H3C SecPath AFC

软件版本：H3C i-Ware Software, Version 1.10, ESS 6501

部署方式：旁路防护

3.3  配置保存

通过在路由协议配置界面write来保存路由进程配置，通过在Web页面中【系统管理】-【系统备份恢复】-【备份项目】对页面操作进行保存。

4 相关资料

·     H3C SecPath AFC2000系列 安装指导手册

·     H3C SecPath AFC2000系列 配置指导手册

5 AFC旁路集群部署BGP三层注入典型配置举例

5.1  简介

本章介绍AFC旁路集群部署时使用BGP等价路由协议实现集群后进行流量牵引后，采用注入模式直接将清洗后流量注入到下层三层设备，下层三层设备根据本地路由表进行流量转发。

5.2  使用限制

三层注入模式应用的场景为与AFC进行路由牵引的核心设备下层连接的网络设备为三层交换机或路由。

5.3  BGP三层注入模式配置举例

5.3.1  适用产品和版本

本配置适用于H3C SecPath AFC旁路设备。

软件版本：H3C i-Ware Software, Version 1.10, ESS 6501。

5.3.2  组网需求

为实现对攻击被保护IP 171.0.3.21的流量的清洗，在核心交换设备处旁路部署2台AFC。核心交换机通过接口G1/0/18、G1/0/19分别和AFC集群设备1及AFC集群设备2的接口M2/GE0连接建立BGP邻居，并形成BGP等价路由，进行引流清洗。清洗后的流量AFC通过输出口直接注入到下层三层交换中，下层交换机根据本地路由表进行流量转发。组网如图1所示。

图5-1 AFC旁路多机集群部署三层注入模式配置组网图

 

 

具体实现如下：

·     主机路由发布：AFC集群设备通过M2/GE0接口和核心交换机建立BGP邻居，AFC将被保护IP的32位路由发布到核心交换机。

·     主机流量清洗：核心交换机将被保护主机流量牵引到AFC，AFC通过清洗策略对主机流量中异常流量进行清洗。

·     流量重定向：A FC将清洗后的流量通过输出口直接注入到下层网络中，下层设备再根据本地路由表进行流量转发。

表5-1 VLAN分配列表

VLAN ID	作用描述	IP地址
1710	核心交换机与AFC集群设备1建立BGP邻居；	171.0.0.1/24
1714	核心交换机与AFC集群设备2建立BGP邻居；	171.0.4.1/24
1711	·     核心交换机与下层网络连接的三层VLAN接口； ·     下层交换机与核心交换机连接三层VLAN接口	上层设备：171.0.1.1/24 下层设备：171.0.1.2/24
1712	下层交换机与AFC集群设备1通道输出口进行三层连接	171.0.2.1/24
1715	下层交换机与AFC集群设备2通道输出口进行三层连接	171.0.5.1/24
1713	·     被保护主机所在的VLAN； ·     被保护主机的网关地址	171.0.3.1/24

 

表5-2 AFC接口IP分配列表

接口	作用描述	IP地址
M2/GE0	核心交换机L3SW1与AFC集群设备建立BGP邻居；	集群设备1：171.0.0.2/24 集群设备2：171.0.4.2/24
M2/GE1	下层交换机L3SW2与AFC集群设备建立路由通道	集群设备1：171.0.2.2/24 集群设备2：171.0.5.2/24
Eth0	AFC管理口	集群设备1：183.1.0.24/24 集群设备2：183.1.0.25/24

 

5.3.3  配置思路

要实现AFC旁路集群部署BGP三层注入模式配置，可按照如下思路进行配置：

(1)     建立BGP路由

在AFC集群设备和核心交换机上分别启用BGP进程，并互为邻居关系，并在核心交换机BGP进程中配置等价路由，实现对牵引流量均分到AFC集群设备上；

(2)     AFC主机路由牵引及流量清洗

发布受保护主机的路由下一跳到AFC，核心设备依据BGP等价路由以负载分担方式将流量牵引到AFC集群，AFC根据防御策略对主机流量进行清洗，将清洗后的流量注入到下层网络中；

(3)     AFC流量注入下层网络

配置AFC通道输出口与下层交换机直连路由相通，近而与下层网络相通，实现注入流量路由转发。

5.3.4  配置注意事项

要进行旁路组网部署，首先要确保AFC设备部署方式已经切换为旁路模式。

通过SSH配置视图，切换AFC部署模式：

# 配置【AFC】集群所有设备工作模式为：bypass

> systools bootrom bypass

    NOTE: the switching may need some time, do not interrupt to avoid severe damage

    type 'SURE' to confirm switching the bootrom ... sure

    switching bootrom, do not reboot or poweroff ... done

reboot is needed

> systools reboot

   type 'SURE' to confirm rebooting ... sure

需手动输入“sure”后才会执行重启操作。

配置路由协议前，请先确保在Web页面中的“系统管理”—“路由协议”中静态路由协议已开启，否则无法配置成功。

 

5.3.5  配置步骤

1. 配置AFC

(1)     AFC集群设备1配置

使用SSH方式登录AFC CLI配置视图

# 修改【AFC】集群设备1通道

> config startup-script channel_device 1 M2/GE0 M2/GE1

      modified the startup script with channel 1 devices

# 应用通道配置

> config startup-script channel_device apply

      apply the channel device settings ? yes

      applying ... succeed

      applied the channel device settings

# 配置【AFC】集群设备1接口

登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态，配置输入口M2/GE0接口IP为171.0.0.2/24，配置输入口M2/GE1接口IP为171.0.2.2/24和对端接口（即核心交换机G1/0/18）IP为171.0.2.1

图5-2  配置AFC与核心交换连接的接口IP

 

配置【AFC】集群设备1的BGP路由

H3C i-Ware Software, Version 1.10, ESS 6502及以后版本路由配置不需要telnet到对应的端口，直接在ssh视图下即可配置。ssh登录设备后台，敲config router命令进入路由配置视图，然后敲config terminal。后面的命令配置就和ESS6501版本相同了。

# telnet登录【AFC】BGP进程配置端口

telnet 183.1.0.24 28065

Hello, this is Quagga (version 0.99.22).

Copyright 1996-2005 Kunihiro Ishiguro, et al.

User Access Verification

Password:

H3C>

H3C> enable

H3C# conf terminal

# 启用BGP进程

H3C(config)#router bgp 65534

# 配置BGP，AS号为65534

H3C(config-router)#bgp router-id 171.0.0.2

# 配置本地router id

H3C(config-router)#bgp scan-time 5

H3C(config-router)#neighbor 171.0.0.1 remote-as 65535

# 配置对端邻居，as号为65535

H3C(config-router)#neighbor 171.0.0.1 soft-reconfiguration inbound

# 配置软重启，当BGP发生变化时不需要重启进程，防止数据中断

H3C(config-router)#neighbor 171.0.0.1 route-map afc out

# 给邻居发送路由更新时要符合afc路由策略

# 配置route-map

H3C(config)# route-map afc permit 10

H3C(config-route-map)# set community no-export no-advertise

# 配置route-map，发送给对端的路由信息携带（no-export no-advertise）属性，当对端收到携带此标记的路由信息后不会传给其他邻居

# 保存配置

H3C# write

Configuration saved to /mnt/storage/etc/dsfw/bgpd.conf

# 查看配置

H3C# show running-config

Current configuration:

!

hostname H3C

password admin

log stdout

!

router bgp 65534

 bgp router-id 171.0.0.2

 bgp scan-time 5

 neighbor 171.0.0.1 remote-as 65535

 neighbor 171.0.0.1 soft-reconfiguration inbound

 neighbor 171.0.0.1 route-map afc out

!

route-map afc permit 10

 set community no-export no-advertise

!

line vty

!

end

 

(2)     AFC集群设备2配置

使用SSH方式登录AFC CLI配置视图

# 修改【AFC】集群设备2通道

> config startup-script channel_device 1 M2/GE0 M2/GE1

      modified the startup script with channel 1 devices

# 应用通道配置

> config startup-script channel_device apply

      apply the channel device settings ? yes

      applying ... succeed

      applied the channel device settings

# 配置【AFC】集群设备2接口

登录【AFC】进入Web页面【系统管理】-【设备管理】查看此时通道状态，配置输入口M2/GE0接口IP为171.0.4.2/24，配置输入口M2/GE1接口IP为171.0.5.2/24和对端接口（即核心交换机G1/0/18）IP为171.0.5.1

图5-3 配置AFC与核心交换连接的接口IP

 

配置【AFC】集群设备2的BGP路由

H3C i-Ware Software, Version 1.10, ESS 6502及以后版本路由配置不需要telnet到对应的端口，直接在ssh视图下即可配置。ssh登录设备后台，敲config router命令进入路由配置视图，然后敲config terminal。后面的命令配置就和ESS6501版本相同了。

# telnet登录【AFC】BGP进程配置端口

telnet 183.1.0.25 28065

Hello, this is Quagga (version 0.99.22).

Copyright 1996-2005 Kunihiro Ishiguro, et al.

User Access Verification

Password:

H3C>

H3C> enable

H3C# conf terminal

# 启用BGP进程

H3C(config)#router bgp 65534

# 配置BGP，AS号为65534

H3C(config-router)#bgp router-id 171.0.4.2

# 配置本地router id

H3C(config-router)#bgp scan-time 5

H3C(config-router)#neighbor 171.0.4.1 remote-as 65535

# 配置对端邻居，as号为65535

H3C(config-router)#neighbor 171.0.4.1 soft-reconfiguration inbound

# 配置软重启，当BGP发生变化时不需要重启进程，防止数据中断

H3C(config-router)#neighbor 171.0.4.1 route-map afc out

# 给邻居发送路由更新时要符合afc路由策略

# 配置route-map

H3C(config)# route-map afc permit 10

H3C(config-route-map)# set community no-export no-advertise

# 配置route-map，发送给对端的路由信息携带（no-export no-advertise）属性，当对端收到携带此标记的路由信息后不会传给其他邻居

# 保存配置

H3C# write

Configuration saved to /mnt/storage/etc/dsfw/bgpd.conf

# 查看配置

H3C# show running-config

Current configuration:

!

hostname H3C

password admin

log stdout

!

router bgp 65534

 bgp router-id 171.0.4.2

 bgp scan-time 5

 neighbor 171.0.4.1 remote-as 65535

 neighbor 171.0.4.1 soft-reconfiguration inbound

 neighbor 171.0.4.1 route-map afc out

!

route-map afc permit 10

 set community no-export no-advertise

!

line vty

!

end

 

(3)     启用AFC集群所有设备集群管理配置

# 依次配置【AFC】集群设备同步口，本实例中均为M2/GE2，分别为10.10.10.1/24和10.10.10.2/24

图5-4 AFC集群设备1同步口IP

 

图5-5 AFC集群设备2同步口IP

 

 

在集群设备1上启用“系统集群配置”

图5-6 在集群设备1启用集群配置

 

查看集群设备2，其接口M2/GE2已经变为“同步设备”

图5-7 集群设备2的M2/GE1状态

 

 

(4)     添加防护范围及回注方式

在集群设备1上配置防护范围及防护主机，可以同步到集群设备2上。

防护范围及回注方式，回注方式选择“默认”，回注参数留空。

图5-8 配置AFC防护范围及回注参数

 

图5-9 配置AFC牵引主机IP

 

 

2. 配置核心交换机

创建VLAN1710、1711和VLAN 1714，其中VLAN 1710对应171.0.0.0/24网段，作用为L3SW1三层交换机与【AFC】集群设备1通道进口M2/GE0直连通信进行路由牵引，VLAN 1711对应171.0.1.0/24网段，作用为与下层进行路由，其中VLAN 1714对应171.0.4.0/24网段，作用为L3SW1三层交换机与【AFC】集群设备2通道进口M2/GE0直连通信进行路由牵引。

# 创建VLAN

[L3SW1]vlan 1710

[L3SW1-vlan1710]quit

[L3SW1]vlan 1711

[L3SW1-vlan1711]quit

[L3SW1]vlan 1714

[L3SW1-vlan1714]quit

# 配置VLAN IP

[L3SW1]interface Vlan-interface1710

[L3SW1-Vlan-interface1710]ip address 171.0.0.1 255.255.255.0

[L3SW1-Vlan-interface1710]quit

[L3SW1]interface Vlan-interface1711

[L3SW1-Vlan-interface1711]ip address 171.0.1.1 255.255.255.0

[L3SW1]interface Vlan-interface1714

[L3SW1-Vlan-interface1711]ip address 171.0.4.1 255.255.255.0

# 将对应端口加入到对于VLAN中，将G1/0/17加入到VLAN 1711，将G1/0/18加入VLAN 1710，将G1/0/19加入到VLAN 1714

[L3SW1]interface GigabitEthernet1/0/17

[L3SW1-GigabitEthernet1/0/17]port link-mode bridge

[L3SW1-GigabitEthernet1/0/17]port access vlan 1711

[L3SW1-GigabitEthernet1/0/17]quit

interface GigabitEthernet1/0/18

[L3SW1-GigabitEthernet1/0/18]port link-mode bridge

[L3SW1-GigabitEthernet1/0/18]port access vlan 1710

[L3SW1-GigabitEthernet1/0/18]quit

interface GigabitEthernet1/0/19

[L3SW1-GigabitEthernet1/0/19]port link-mode bridge

[L3SW1-GigabitEthernet1/0/19]port access vlan 1714

[L3SW1-GigabitEthernet1/0/19]quit

# 配置BGP进程

[L3SW1]#bgp 65535

#  配置BGP，AS号为65535

[L3SW1-bgp]router-id 171.0.0.1

# 配置路由器的Router ID

[L3SW1-bgp]undo synchronization

[L3SW1-bgp]address-family ipv4

[L3SW1-bgp-ipv4]peer 171.0.0.2 enable

[L3SW1-bgp-ipv4]peer 171.0.4.2 enable

# 与对端启用ipv4单播, 允许本地路由器与指定对等体交换IPv4单播路由信息

[L3SW1-bgp]peer 171.0.0.2 as-number 65534

[L3SW1-bgp]peer 171.0.4.2 as-number 65534

# 配置对端邻居，对端AS号为65534

[L3SW1-bgp]balance 2

# 配置核心交换机的BGP等价路由条数

[L3SW1-bgp]peer 171.0.0.2 description afc2100_01

[L3SW1-bgp]peer 171.0.4.2 description afc2100_02

# 配置对端描述，对端为afc2100

[L3SW1-bgp]peer 171.0.0.2 preferred-value 1

[L3SW1-bgp]peer 171.0.4.2 preferred-value 1

# 为从对等体接收的路由分配首选值，值越小越优先

[L3SW1-bgp]peer 171.0.0.2 keep-all-routes

[L3SW1-bgp]peer 171.0.4.2 keep-all-routes

# 保存所有来自对等体/对等体组的原始路由信息，即使这些路由没有通过已配置的入口策略

 

# 查看BGP对端

[L3SW1-bgp]display bgp peer

 BGP local router ID : 171.0.0.1

 Local AS number : 65535

 Total number of peers : 2          Peers in established state : 2

  Peer                    AS  MsgRcvd  MsgSent OutQ PrefRcv Up/Down  State

  171.0.0.2            65534        7        5    0       0 00:02:40 Established

  171.0.4.2            65534        3        2    0       0 00:00:44 Established

为了保证上层网络与下层网络互通，需要配置路由协议实现，本实验在核心交换机与下层交换机直接配置OSPF路由进程，实现互通。

# 在核心交换机上启用OSPF进程与下层网络进行路由信息交换

[L3SW1]ospf 1

[L3SW2-ospf-1]area 0

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]quit

# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通，在L3SW1和L3SW2均配置OSPF协议，area id均为0，也可以采用其他路由协议实现两个三层交换及与上层路由之间互通

3. 配置下层交换机

创建VLAN 1711、VLAN1712、VLAN 1713和VLAN 15，其中VLAN 1711对应171.0.1.0/24网段，作用为核心交换机L3SW1与下层网络直连路由，VLAN 1712对于171.0.2.0/24网段，作用为与AFC集群设备1通道输出接口进行直连路由通信，VLAN 1713对于171.0.3.0/24网段，为下层网络所在网段，VLAN 1715对于171.0.5.0/24网段，作用为与AFC集群设备2通道输出接口进行直连路由通信。

# 创建VLAN

[L3SW2]vlan 1711

[L3SW2-vlan1711]quit

[L3SW2]vlan 1712

[L3SW2-vlan1713]quit

[L3SW2]vlan 1713

[L3SW2-vlan1713]quit

[L3SW2]vlan 1715

[L3SW2-vlan1715]quit

# 配置VLAN IP

[L3SW2]int Vlan-interface 1711

[L3SW2-Vlan-interface1711]ip address 171.0.1.2 24

[L3SW2-Vlan-interface1711]quit

[L3SW2]int Vlan-interface 1712

[L3SW2-Vlan-interface1712]ip address 171.0.2.1 24

[L3SW2-Vlan-interface1712]quit

[L3SW2]int Vlan-interface 1713

[L3SW2-Vlan-interface1713]ip address 171.0.3.1 24

[L3SW2-Vlan-interface1713]quit

[L3SW2]int Vlan-interface 1715

[L3SW2-Vlan-interface1715]ip address 171.0.5.1 24

[L3SW2-Vlan-interface1715]quit

# 将接口加入到VLAN，将G1/0/13加入到VLAN 1713，将G1/0/17加入到VLAN 1711，将G1/0/18加入到VLAN 1712，将G1/0/19加入到VLAN 1712，

 [L3SW2]interface GigabitEthernet1/0/13

# 连接被保护主机

[L3SW2-GigabitEthernet1/0/13]port link-mode bridge

[L3SW2-GigabitEthernet1/0/13]port access vlan 1713

[L3SW2-GigabitEthernet1/0/13]quit

[L3SW2]interface GigabitEthernet1/0/17

# 连接上层三层交换机

[L3SW2-GigabitEthernet1/0/17]port link-mode bridge

[L3SW2-GigabitEthernet1/0/17]port access vlan 1711

[L3SW2-GigabitEthernet1/0/17]quit

[L3SW2]interface GigabitEthernet1/0/18

# 连接AFC集群设备1通道输出口

[L3SW2-GigabitEthernet1/0/13]port link-mode bridge

[L3SW2-GigabitEthernet1/0/13]port access vlan 1712

[L3SW2-GigabitEthernet1/0/13]quit

[L3SW2]interface GigabitEthernet1/0/19

# 连接AFC集群设备2通道输出口

[L3SW2-GigabitEthernet1/0/19]port link-mode bridge

[L3SW2-GigabitEthernet1/0/19]port access vlan 1715

[L3SW2-GigabitEthernet1/0/19]quit

为了保证上层网络与下层网络互通，需要配置路由协议实现，本实验在核心交换机与下层交换机直接配置OSPF路由进程，实现互通。

# 在下层交换机上启用OSPF进程与下层网络进行路由信息交换

[L3SW2]ospf 1

[L3SW2-ospf-1]area 0

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.1.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]network 171.0.3.0 0.0.0.255

[L3SW2-ospf-1-area-0.0.0.0]quit

# 为了保证核心交换机L3SW1与下层交换机L3SW2路由互通，在L3SW1和L3SW2均配置OSPF协议，area id均为0 ，也可以采用其他路由协议实现两个三层交换及与上层路由之间互通

5.3.6  验证配置

(1)     验证集群状态是否成功

查看所有集群设备的集群同步口功能是否变为“同步设备”，以集群设备2为例，如下图

图5-10 集群设备2的M2/GE1状态

 

在所有集群设备上查看系统日志，可以看到关于激活集群配置的成功提示

图5-11 集群同步同步日志

 

(2)     验证核心交换机L3SW1与【AFC】通道输入口是否互通

通过ping来测试核心交换机是否与AFC路由相通

[L3SW1]ping -a 171.0.0.1 171.0.0.2

  PING 171.0.0.2: 56  data bytes, press CTRL_C to break

    Reply from 171.0.0.2: bytes=56 Sequence=1 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=2 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=3 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=4 ttl=64 time=3 ms

    Reply from 171.0.0.2: bytes=56 Sequence=5 ttl=64 time=3 ms

  --- 171.0.0.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 3/3/3 ms

(3)     验证核心交换机L3SW1与【AFC】路由牵引是否成功

未在【AFC】上启用主机配置“防护”时，查看L3SW1的BGP路由表

[L3SW1]display bgp routing-table

 Total Number of Routes: 0

在【AFC】集群设备1上勾选保护主机的“防护”按钮

图5-12 在【AFC】集群设备1上勾选保护主机的“防护”按钮进行主机路由牵引

 

查看核心交换机L3SW1的路由表，关于牵引主机的下一跳两个即等价路由有两个

[L3SW1]display bgp routing-table

 Total Number of Routes: 2

 BGP Local router ID is 171.0.0.1

 Status codes: * - valid, ^ - VPNv4 best, > - best, d - damped,

               h - history,  i - internal, s - suppressed, S - Stale

               Origin : i - IGP, e - EGP, ? - incomplete

     Network            NextHop         MED        LocPrf     PrefVal Path/Ogn

* >  171.0.3.21/32      171.0.0.2       0                     1       65534i

*                       171.0.4.2       0                     1       65534i

 

(4)     验证下层交换机L3SW2与【AFC】集群设备通道输出口是否互通

通过ping来测试核心交换机是否与AFC路由相通

[L3SW2]ping -a 171.0.2.1 171.0.2.2

Ping 171.0.2.2 (171.0.2.2) from 171.0.2.1: 56 data bytes, press CTRL_C to break

56 bytes from 171.0.2.2: icmp_seq=0 ttl=64 time=1.061 ms

56 bytes from 171.0.2.2: icmp_seq=1 ttl=64 time=0.798 ms

56 bytes from 171.0.2.2: icmp_seq=2 ttl=64 time=0.772 ms

56 bytes from 171.0.2.2: icmp_seq=3 ttl=64 time=0.824 ms

56 bytes from 171.0.2.2: icmp_seq=4 ttl=64 time=0.722 ms

--- Ping statistics for 171.0.2.2 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet lossround-

[L3SW2]ping -a 171.0.5.1 171.0.5.2

Ping 171.0.5.2 (171.0.5.2) from 171.0.5.1: 56 data bytes, press CTRL_C to break

56 bytes from 171.0.5.2: icmp_seq=0 ttl=64 time=1.061 ms

56 bytes from 171.0.5.2: icmp_seq=1 ttl=64 time=0.798 ms

56 bytes from 171.0.5.2: icmp_seq=2 ttl=64 time=0.772 ms

56 bytes from 171.0.5.2: icmp_seq=3 ttl=64 time=0.824 ms

56 bytes from 171.0.5.2: icmp_seq=4 ttl=64 time=0.722 ms

--- Ping statistics for 171.0.5.2 ---

5 packet(s) transmitted, 5 packet(s) received, 0.0% packet lossround-

(5)     验证客户端与服务端是否互通

通过ping测试客户端是否与服务路由相通

[root@AFCTest_Client ~]# ifconfig eth0

eth0      Link encap:Ethernet  HWaddr 00:0C:29:9D:1B:7A 

          inet addr:184.0.0.75  Bcast:184.0.0.255  Mask:255.255.255.0

          inet6 addr: fe80::20c:29ff:fe9d:1b7a/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:257120 errors:0 dropped:0 overruns:0 frame:0

          TX packets:47273087 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:28882056 (27.5 MiB)  TX bytes:3460908912 (3.2 GiB)

[root@AFCTest_Client ~]# ping -c 5 171.0.3.21

PING 171.0.3.21 (171.0.3.21) 56(84) bytes of data.

64 bytes from 171.0.3.21: icmp_seq=1 ttl=124 time=0.799 ms

64 bytes from 171.0.3.21: icmp_seq=2 ttl=124 time=0.736 ms

64 bytes from 171.0.3.21: icmp_seq=3 ttl=124 time=0.862 ms

64 bytes from 171.0.3.21: icmp_seq=4 ttl=124 time=1.47 ms

64 bytes from 171.0.3.21: icmp_seq=5 ttl=124 time=1.02 ms

--- 171.0.1.21 ping statistics ---

5 packets transmitted, 5 received, 0% packet loss, time 4006ms

rtt min/avg/max/mdev = 0.736/0.977/1.470/0.266 ms

(6)     验证客户端与服务端通信是否进过【AFC】

在客户端ping保护主机，查看【AFC】上主机状态，有ICMP报文过来

图5-13 客户端ping服务器

 

在【AFC】上抓取客户端到服务器的ping包

抓包分析，在【AFC】通道的输入口M2/GE0即gbe9，可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。

图5-14 在AFC上抓包，查看输入口报文

 

抓包分析，在【AFC】通道的输出口M2/GE1即gbe10，可以看到客户端184.0.0.75到服务器171.0.3.21的echo包。

图5-15 在AFC上抓包，查看输出口报文